Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Despliegues de clúster de chasis activo/pasivo

Descripción de la implementación activa/pasiva de clústeres de chasis

En este caso, se usa un único dispositivo del clúster para enrutar todo el tráfico, mientras que el otro dispositivo solo se usa en caso de error (consulte la figura 1). Cuando se produce un error, el dispositivo de copia de seguridad se convierte en el principal y controla todo el reenvío.

Figura 1: Escenario Active/Passive Chassis Cluster Scenario de clúster de chasis activo/pasivo

Se puede lograr un clúster de chasis activo/pasivo mediante interfaces Ethernet redundantes (reth) asignadas al mismo grupo de redundancia. Si se produce un error en alguna de las interfaces de un grupo activo de un nodo, el grupo se declara inactivo y todas las interfaces del grupo conmutan por error al otro nodo.

Esta configuración minimiza el tráfico a través del vínculo de estructura, ya que solo un nodo del clúster reenvía el tráfico en un momento dado.

Ejemplo: configuración de un clúster de chasis activo/pasivo en firewalls SRX5800

En este ejemplo se muestra cómo configurar clústeres básicos de chasis activo/pasivo en una SRX5800 firewalls.

Requisitos

Antes de empezar:

  • Necesita dos firewalls SRX5800 con configuraciones de hardware idénticas y, opcionalmente, un enrutador de borde MX480 y un conmutador Ethernet EX9214 para enviar tráfico de datos de extremo a extremo.

  • Conecte físicamente los dos dispositivos (espalda con espalda para la estructura y los puertos de control) y asegúrese de que sean los mismos modelos.

  • Antes de formar el clúster, debe configurar los puertos de control para cada dispositivo, así como asignar un ID de clúster y un ID de nodo a cada dispositivo y, a continuación, reiniciar. Cuando el sistema arranca, ambos nodos aparecen como un clúster.

    La configuración del puerto de control es necesaria para los firewalls SRX5400, SRX5600 y SRX5800.

Ahora los dispositivos son un par. A partir de este momento, la configuración del clúster se sincroniza entre los miembros del nodo y los dos dispositivos independientes funcionan como un solo dispositivo.

Visión general

En este ejemplo, se muestra cómo configurar clústeres básicos de chasis activo/pasivo en un firewall serie SRX. El ejemplo activo/pasivo básico es el tipo más común de clúster de chasis.

El clúster básico de chasis activo/pasivo consta de dos dispositivos:

  • Un dispositivo proporciona activamente servicios de enrutamiento, firewall, NAT, VPN y seguridad, además de mantener el control del clúster de chasis.

  • El otro dispositivo mantiene pasivamente su estado para las capacidades de conmutación por error del clúster en caso de que el dispositivo activo se vuelva inactivo.

Este ejemplo de modo activo/pasivo para el firewall SRX5800 no describe en detalle diversas configuraciones, como la forma de configurar NAT, las políticas de seguridad o las VPN. Son esencialmente los mismos que serían para configuraciones independientes. Sin embargo, si está realizando ARP de proxy en configuraciones de clúster de chasis, debe aplicar las configuraciones de ARP de proxy a las interfaces reth en lugar de a las interfaces miembro, ya que las interfaces RETH contienen las configuraciones lógicas. Consulte Configuración de ARP de proxy para NAT (procedimiento de CLI). También puede configurar configuraciones de interfaz lógica independientes mediante VLAN e interfaces troncalizadas en el firewall SRX5800. Estas configuraciones son similares a las implementaciones independientes que utilizan VLAN e interfaces troncalizadas.

La figura 2 muestra la topología utilizada en este ejemplo.

Figura 2: Clústeres básicos de chasis activo/pasivo en un ejemplo de topología de firewall serie SRX Basic Active/Passive Chassis Clustering on an SRX Series Firewall Topology Example

Configuración

Configuración de los puertos de control y habilitación del modo de clúster

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

En {principal:node0}

(Opcional) Para configurar rápidamente un conmutador central EX9214, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

En el dispositivo EX

(Opcional) Para configurar rápidamente un enrutador perimetral MX480, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

En el dispositivo MX

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración.

Para configurar un clúster de chasis en un firewall serie SRX:

En el modo de clúster, la configuración se sincroniza a través del vínculo de control entre los nodos cuando se ejecuta un commit comando. Todos los comandos se aplican a ambos nodos, independientemente del dispositivo desde el que se configure el comando.

  1. Dado que la configuración del clúster de chasis del firewall de SRX5000 se encuentra dentro de una única configuración común, para asignar algunos elementos de la configuración solo a un miembro específico, debe utilizar el método de configuración específico del nodo de Junos OS denominado grupos. El set apply-groups ${node} comando utiliza la variable de nodo para definir cómo se aplican los grupos a los nodos; cada nodo reconoce su número y acepta la configuración en consecuencia. También debe configurar la administración fuera de banda en la interfaz fxp0 del firewall de SRX5000 utilizando direcciones IP independientes para los planos de control individuales del clúster.

    No se permite configurar la dirección de destino del enrutador de reserva como x.x.x.0/0.

    La configuración de los grupos anteriores node0 y node1 se confirma, pero no se aplica. Una vez que el dispositivo está configurado en clúster, estos comandos se aplican mediante set apply-groups “${node}”.

  2. Utilice los siguientes comandos para configurar el nodo 0, que es principal. No se puede acceder al nodo 1 hasta que se confirme la configuración del nodo. El nodo 0 sincronizará automáticamente la configuración a través del puerto de control con el nodo 1 y no es necesario configurar explícitamente el nodo 1.

  3. Configure el puerto de control para cada dispositivo y confirme la configuración.

    Asegúrese de tener la conexión de vínculo de control físico entre las tarjetas SPC en ambos nodos según la configuración.

    Los puertos de control se derivan en función de la ubicación de SPC en el chasis y el valor de desplazamiento se basa en la plataforma. En el ejemplo siguiente, el SPC está presente en la ranura de ingresos 1 y, dado que el desplazamiento de SRX5800 es 12, los puertos de control son 1, 13. Puede ver el valor de Desplazamiento para una plataforma concreta mediante “jwhoami -c” el comando en modo de shell. Debe introducir los siguientes comandos en ambos dispositivos. Por ejemplo:

    • En el nodo 0:

    • En el nodo 1:

  4. Establezca los dos dispositivos en modo de clúster. Es necesario reiniciar para entrar en modo de clúster después de establecer el ID de clúster y el ID de nodo. Puede hacer que el sistema se inicie automáticamente incluyendo el reboot parámetro en la línea de comandos de la CLI. Debe introducir los comandos del modo operativo en ambos dispositivos. Por ejemplo:

    • En el nodo 0:

    • En el nodo 1:

    El ID de clúster debe ser el mismo en ambos dispositivos de un clúster, pero el ID de nodo debe ser diferente porque un dispositivo es el nodo 0 y el otro dispositivo es el nodo 1. El intervalo para el ID de clúster es de 1 a 255. Establecer un ID de clúster en 0 equivale a deshabilitar un clúster. Pero se recomienda usar set chassis cluster disable para romper los nodos del clúster.

  5. Configure grupos de redundancia para clústeres de chasis. Cada nodo tiene interfaces en un grupo de redundancia donde las interfaces están activas en grupos de redundancia activos (pueden existir varias interfaces activas en un grupo de redundancia). El grupo de redundancia 0 controla el plano de control y el grupo de redundancia 1+ controla el plano de datos e incluye los puertos del plano de datos. Para este ejemplo de modo activo/pasivo, solo hay un miembro del clúster de chasis activo a la vez, por lo que solo debe definir los grupos de redundancia 0 y 1. Además de los grupos de redundancia, también debe definir:

    • Grupos Ethernet redundantes: configure cuántas interfaces Ethernet redundantes (vínculos miembro) estarán activas en el dispositivo para que el sistema pueda asignar los recursos adecuados para él.

    • Prioridad para el plano de control y el plano de datos: defina qué dispositivo tiene prioridad (para el clúster de chasis, se prefiere prioridad alta) para el plano de control y qué dispositivo se prefiere que esté activo para el plano de datos.

      • En el modo activo/pasivo o activo/activo, el plano de control (grupo de redundancia 0) puede estar activo en un chasis diferente del chasis del plano de datos (grupo de redundancia 1+ y grupos). Sin embargo, para este ejemplo, recomendamos tener activo tanto el plano de control como el plano de datos en el mismo miembro del chasis. Cuando el tráfico pasa a través del vínculo de estructura para ir a otro nodo miembro, se introduce latencia (tráfico en modo de línea z).

      • En los firewalls de la serie SRX (línea SRX5000), la VPN IPsec no se admite en la configuración de clúster de chasis activo/activo (es decir, cuando hay varios grupos de redundancia RG1+) en modo Z.

  6. Configure los puertos de estructura (datos) del clúster que se utilizan para pasar RTO en modo activo/pasivo. Para este ejemplo, utilice uno de los puertos de ingresos. Defina dos interfaces de estructura, una en cada chasis, para conectarlas entre sí.

    Configure las interfaces de datos en la plataforma para que, en caso de conmutación por error del plano de datos, el otro miembro del clúster de chasis pueda hacerse cargo de la conexión sin problemas. La transición fluida a un nuevo nodo activo se producirá con la conmutación por error del plano de datos. En caso de conmutación por error del plano de control, todos los demonios se reinician en el nuevo nodo, lo que permite un reinicio elegante para evitar perder la vecindad con los pares (ospf, bgp). Esto promueve una transición sin problemas al nuevo nodo sin pérdida de paquetes.

    Debe definir los siguientes elementos:

    • Defina la información de pertenencia de las interfaces miembro a la interfaz reth.

    • Defina a qué grupo de redundancia pertenece la interfaz reth. Para este ejemplo activo/pasivo, siempre es 1.

    • Defina la información de la interfaz real, como la dirección IP de la interfaz.

  7. (Opcional) Configure el comportamiento del clúster de chasis en caso de que se produzca un error. Para el firewall SRX5800, el umbral de conmutación por error se establece en 255. Puede modificar los pesos para determinar el impacto en la conmutación por error del chasis. También debe configurar la recuperación de vínculos de control. La recuperación hace que el nodo secundario se reinicie automáticamente en caso de que se produzca un error en el vínculo de control y, a continuación, vuelva a estar en línea. Introduzca estos comandos en el nodo 0.

    Este paso completa la parte de configuración del clúster de chasis del ejemplo de modo activo/pasivo para el firewall SRX5800. El resto de este procedimiento describe cómo configurar la zona, el enrutador virtual, el enrutamiento, el conmutador central EX9214 y el enrutador perimetral MX480 para completar el escenario de implementación.

  8. (Opcional) Configure y conecte las interfaces reth a las zonas y enrutadores virtuales adecuados. Para este ejemplo, deje las interfaces reth0 y reth1 en el enrutador virtual predeterminado inet.0, que no requiere ninguna configuración adicional.

  9. Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.

  10. (Opcional) Para el conmutador Ethernet EX9214, los siguientes comandos proporcionan solo un esquema de la configuración aplicable en lo que respecta a este ejemplo de modo activo/pasivo para el firewall SRX5800; especialmente las VLAN, el enrutamiento y la configuración de la interfaz.

  11. (Opcional) Para el enrutador perimetral MX480, los siguientes comandos proporcionan solo un esquema de la configuración aplicable en lo que respecta a este ejemplo de modo activo/pasivo para el firewall SRX5800; lo más notable es que debe utilizar una interfaz IRB dentro de una instancia de conmutador virtual en el conmutador.

Verificación

Confirme que la configuración funciona correctamente.

Comprobar el estado del clúster de chasis

Propósito

Compruebe el estado del clúster de chasis, el estado de conmutación por error y la información del grupo de redundancia.

Acción

Desde el modo operativo, ingrese el show chassis cluster status comando.

Comprobar las interfaces del clúster de chasis

Propósito

Compruebe la información sobre las interfaces de clúster de chasis.

Acción

Desde el modo operativo, ingrese el show chassis cluster interfaces comando.

Verificar las estadísticas del clúster de chasis

Propósito

Verifique la información sobre los servicios de clúster de chasis y las estadísticas de vínculos de control (latidos enviados y recibidos), estadísticas de vínculos de estructura (sondeos enviados y recibidos) y el número de RTO enviados y recibidos por servicios.

Acción

Desde el modo operativo, ingrese el show chassis cluster statistics comando.

Comprobar las estadísticas del plano de control del clúster de chasis

Propósito

Verifique la información sobre las estadísticas del plano de control del clúster del chasis (latidos enviados y recibidos) y las estadísticas del vínculo de estructura (sondeos enviados y recibidos).

Acción

Desde el modo operativo, ingrese el show chassis cluster control-plane statistics comando.

Comprobar las estadísticas del plano de datos del clúster de chasis

Propósito

Verifique la información sobre la cantidad de RTO enviados y recibidos por servicios.

Acción

Desde el modo operativo, ingrese el show chassis cluster data-plane statistics comando.

Verificar ping desde el dispositivo EX

Propósito

Verifique el estado de la conexión desde el dispositivo EX.

Acción

Desde el modo operativo, ingrese el ping 172.16.1.254 count 2 comando.

Comprobar el estado del grupo de redundancia del clúster de chasis

Propósito

Compruebe el estado y la prioridad de ambos nodos en un clúster e información acerca de si el nodo principal ha tenido preferencia o si ha habido una conmutación por error manual.

Acción

Desde el modo operativo, ingrese el chassis cluster status redundancy-group comando.

Solución de problemas con registros

Propósito

Utilice estos registros para identificar cualquier problema del clúster del chasis. Debe ejecutar estos registros en ambos nodos.

Acción

Desde el modo operativo, ingrese estos show log comandos.

Ejemplo: configuración de un par de clústeres de chasis activo/pasivo (SRX1500 o SRX1600)

En este ejemplo, se muestra cómo configurar la agrupación en clústeres de chasis activo/pasivo para SRX1500 o SRX1600 dispositivo.

Requisitos

Antes de empezar:

  1. Conecte físicamente un par de dispositivos entre sí, asegurándose de que sean los mismos modelos.

  2. Cree un vínculo de estructura conectando una interfaz Gigabit Ethernet en un dispositivo a otra interfaz Gigabit Ethernet en el otro dispositivo.

  3. Cree un vínculo de control conectando el puerto de control de los dos dispositivos SRX1500.

  4. Conéctese a uno de los dispositivos mediante el puerto de consola. (Este es el nodo que forma el clúster). y establezca el ID de clúster y el número de nodo.

  5. Conéctese al otro dispositivo mediante el puerto de consola y establezca el ID de clúster y el número de nodo.

Visión general

En este ejemplo, se usa un único dispositivo del clúster para enrutar todo el tráfico y el otro dispositivo solo se usa en caso de error. (Consulte la figura 3.) Cuando se produce un error, el dispositivo de copia de seguridad se convierte en el principal y controla todo el reenvío.

Figura 3: Topología Active/Passive Chassis Cluster Topology de clúster de chasis activo/pasivo

Puede crear un clúster de chasis activo/pasivo configurando interfaces Ethernet redundantes (reth) que estén asignadas al mismo grupo de redundancia. Esta configuración minimiza el tráfico a través del vínculo de estructura, ya que solo un nodo del clúster reenvía el tráfico en un momento dado.

En este ejemplo, se configura la información del grupo (aplicando la configuración con el comando) y del clúster del apply-groups chasis. A continuación, se configuran las zonas de seguridad y las políticas de seguridad. Consulte la Tabla 1 a la Tabla 4.

Tabla 1: Parámetros de configuración de grupos y clústeres de chasis

Característica

Nombre

Parámetros de configuración

Grupos

nodo0

  • Nombre de host: srx1500-A

  • Interfaz: fxp0

    • Unidad 0

    • 192.0.2.110/24

nodo1

  • Nombre de host: srx1500-B

  • Interfaz: fxp0

    • Unidad 0

    • 192.0.2.111/24

Tabla 2: Parámetros de configuración del clúster de chasis

Característica

Nombre

Parámetros de configuración

Vínculos de estructura

fab0

Interfaz: ge-0/0/1

fab1

Interfaz: ge-7/0/1

Intervalo de latidos

1000

Umbral de latidos cardíacos

3

Grupo de redundancia

0

  • Prioridad:

    • Nodo 0: 254

    • Nodo 1: 1

1

  • Prioridad:

    • Nodo 0: 254

    • Nodo 1: 1

Monitoreo de interfaz

  • ge-0/0/4

  • GE-7/0/4

  • GE-0/0/5

  • GE-7/0/5

Número de interfaces Ethernet redundantes

2

Interfaces

ge-0/0/4

Padre redundante: reth0

GE-7/0/4

Padre redundante: reth0

GE-0/0/5

Padre redundante: reth1

GE-7/0/5

Padre redundante: reth1

reth0

Grupo de redundancia: 1

  • Unidad 0

  • 198.51.100.1/24

reth1

Grupo de redundancia: 1

  • Unidad 0

  • 203.0.113.233/24

Tabla 3: Parámetros de configuración de la zona de seguridad

Nombre

Parámetros de configuración

confianza

La interfaz reth1.0 está enlazada a esta zona.

desconfianza

La interfaz reth0.0 está enlazada a esta zona.

Tabla 4: Parámetros de configuración de la política de seguridad

Propósito

Nombre

Parámetros de configuración

Esta política de seguridad permite el tráfico desde la zona de confianza a la zona de no confianza.

CUALQUIER

  • Criterios de coincidencia:

    • dirección de origen cualquiera

    • dirección-destino cualquiera

    • aplicación cualquiera

  • Acción: permiso

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar un clúster de chasis activo/pasivo:

  1. Configure la interfaz de administración.

  2. Configure la interfaz de estructura.

  3. Configure los ajustes de latido.

  4. Configurar grupos de redundancia.

  5. Configure interfaces Ethernet redundantes.

  6. Configure zonas de seguridad.

  7. Configurar políticas de seguridad.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show configuration comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Para abreviar, este show resultado del comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificación del estado del clúster de chasis

Propósito

Compruebe el estado del clúster de chasis, el estado de conmutación por error y la información del grupo de redundancia.

Acción

Desde el modo operativo, ingrese el show chassis cluster status comando.

Comprobación de interfaces de clúster de chasis

Propósito

Compruebe la información sobre las interfaces de clúster de chasis.

Acción

Desde el modo operativo, ingrese el show chassis cluster interfaces comando.

Verificación de estadísticas de clúster de chasis

Propósito

Verifique la información sobre las estadísticas de los distintos objetos que se sincronizan, los saludos de la estructura y la interfaz de control, y el estado de las interfaces supervisadas en el clúster.

Acción

Desde el modo operativo, ingrese el show chassis cluster statistics comando.

Verificación de estadísticas del plano de control del clúster de chasis

Propósito

Verifique la información sobre las estadísticas del plano de control del clúster del chasis (latidos enviados y recibidos) y las estadísticas del vínculo de estructura (sondeos enviados y recibidos).

Acción

Desde el modo operativo, ingrese el show chassis cluster control-plane statistics comando.

Comprobación de estadísticas de plano de datos del clúster de chasis

Propósito

Verifique la información sobre la cantidad de RTO enviados y recibidos por servicios.

Acción

Desde el modo operativo, ingrese el show chassis cluster data-plane statistics comando.

Comprobación del estado del grupo de redundancia del clúster de chasis

Propósito

Compruebe el estado y la prioridad de ambos nodos en un clúster e información acerca de si el nodo principal ha tenido preferencia o si ha habido una conmutación por error manual.

Acción

Desde el modo operativo, ingrese el chassis cluster status redundancy-group comando.

Solución de problemas con registros

Propósito

Utilice estos registros para identificar cualquier problema del clúster del chasis. Debe ejecutar estos registros en ambos nodos.

Acción

Desde el modo operativo, ingrese estos show comandos.

Ejemplo: configuración de un par de clústeres de chasis activo/pasivo (J-Web)

  1. Habilite la agrupación en clústeres. Consulte Paso 1 en Ejemplo: Configuración de un par de clústeres de chasis (CLI) activo/pasivo.

  2. Configure la interfaz de administración. Consulte Paso 2 en Ejemplo: Configuración de un par de clústeres de chasis (CLI) activo/pasivo.

  3. Configure la interfaz de estructura. Consulte Paso 3 en Ejemplo: Configuración de un par de clústeres de chasis (CLI) activo/pasivo.

  4. Configure los grupos de redundancia.

    • Seleccione Configure>Chassis Cluster.

    • Escriba la información siguiente y, a continuación, haga clic en Apply:

      1. Número de interfaces de éter redundantes: 2

      2. Intervalo de latidos: 1000

      3. Umbral de latidos del corazón: 3

      4. Nodos: 0

      5. Número de grupo: 0

      6. Prioridades: 100

    • Escriba la información siguiente y, a continuación, haga clic en Apply:

      1. Nodos: 0

      2. Número de grupo: 1

      3. Prioridades: 1

    • Escriba la información siguiente y, a continuación, haga clic en Apply:

      1. Nodos: 1

      2. Número de grupo: 0

      3. Prioridades: 100

  5. Configure las interfaces Ethernet redundantes.

    • Seleccione Configure>Chassis Cluster.

    • Seleccione ge-0/0/4.

    • Ingrese reth1 en el cuadro Padre redundante.

    • Haga clic en Apply.

    • Seleccione ge-7/0/4.

    • Ingrese reth1 en el cuadro Padre redundante.

    • Haga clic en Apply.

    • Seleccione ge-0/0/5.

    • Ingrese reth0 en el cuadro Padre redundante.

    • Haga clic en Apply.

    • Seleccione ge-7/0/5.

    • Ingrese reth0 en el cuadro Padre redundante.

    • Haga clic en Apply.

    • Consulte el paso 5 en Ejemplo: Configuración de un par de clústeres de chasis (CLI) activo/pasivo para conocer las cuatro últimas opciones de configuración.

  6. Configure las zonas de seguridad. Consulte el paso 6 en Ejemplo: Configuración de un par de clústeres de chasis (CLI) activo/pasivo.

  7. Configure las políticas de seguridad. Consulte el paso 7 en Ejemplo: Configuración de un par de clústeres de chasis (CLI) activo/pasivo.

  8. Haga clic OK para comprobar su configuración y guardarla como configuración candidata y, a continuación, haga clic en Commit Options>Commit.

Descripción de la implementación activa/pasiva de clústeres de chasis con un túnel IPsec

En este caso, un único dispositivo del clúster termina en un túnel IPsec y se usa para procesar todo el tráfico, mientras que el otro dispositivo solo se usa en caso de que se produzca un error (consulte la figura 4). Cuando se produce un error, el dispositivo de copia de seguridad se convierte en el principal y controla todo el reenvío.

Figura 4: Clúster de chasis activo/pasivo con escenario de túnel IPsec (firewalls de la serie SRX) Active/Passive Chassis Cluster with IPsec Tunnel Scenario (SRX Series Firewalls)

Se puede lograr un clúster de chasis activo/pasivo mediante interfaces Ethernet redundantes (reth) asignadas al mismo grupo de redundancia. Si se produce un error en alguna de las interfaces de un grupo activo de un nodo, el grupo se declara inactivo y todas las interfaces del grupo conmutan por error al otro nodo.

Esta configuración proporciona una manera para que un túnel IPsec de sitio a sitio termine en un clúster activo/pasivo donde se usa una interfaz Ethernet redundante como punto de conexión del túnel. En caso de fallo, la interfaz Ethernet redundante en el firewall de la serie SRX de respaldo se activa, lo que obliga al túnel a cambiar los puntos de conexión para terminar en el nuevo firewall de la serie SRX activo. Dado que las claves de túnel y la información de sesión se sincronizan entre los miembros del clúster de chasis, no es necesario renegociar el túnel y mantener todas las sesiones establecidas.

En caso de fallo de RG0 (motor de enrutamiento), los protocolos de enrutamiento deben restablecerse en el nuevo nodo principal. Si se configura la supervisión de VPN o la detección de pares muertos, y su temporizador expira antes de que el enrutamiento vuelva a converger en el nuevo primario RG0, el túnel VPN se derribará y se renegociará.

Los túneles dinámicos no pueden equilibrar la carga en diferentes SPC.

Ejemplo: configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec

En este ejemplo, se muestra cómo configurar clústeres de chasis activo/pasivo con un túnel IPsec para firewalls serie SRX.

Requisitos

Antes de empezar:

  • Obtenga dos modelos SRX5000 con configuraciones de hardware idénticas, un dispositivo SRX1500 o SRX1600 y cuatro conmutadores Ethernet de la serie EX.

  • Conecte físicamente los dos dispositivos (espalda con espalda para la estructura y los puertos de control) y asegúrese de que sean los mismos modelos. Puede configurar tanto la estructura como los puertos de control en la línea SRX5000.

  • Establezca los dos dispositivos en modo de clúster y reinicie los dispositivos. Debe introducir los siguientes comandos del modo operativo en ambos dispositivos, por ejemplo:

    • En el nodo 0:

    • En el nodo 1:

    El ID de clúster es el mismo en ambos dispositivos, pero el ID de nodo debe ser diferente porque un dispositivo es el nodo 0 y el otro dispositivo es el nodo 1. El intervalo para el ID de clúster es de 1 a 255. Establecer un ID de clúster en 0 equivale a deshabilitar un clúster.

    El ID de clúster mayor que 15 solo se puede establecer cuando la estructura y las interfaces de vínculo de control están conectadas de forma consecutiva.

  • Obtenga dos modelos SRX5000 con configuraciones de hardware idénticas, un enrutador de borde SRX1500 y cuatro conmutadores Ethernet de la serie EX.

  • Conecte físicamente los dos dispositivos (espalda con espalda para la estructura y los puertos de control) y asegúrese de que sean los mismos modelos. Puede configurar tanto la estructura como los puertos de control en la línea SRX5000.

A partir de este momento, la configuración del clúster se sincroniza entre los miembros del nodo y los dos dispositivos independientes funcionan como un solo dispositivo. Las configuraciones específicas de cada miembro (como la dirección IP del puerto de administración de cada miembro) se introducen mediante grupos de configuración.

Visión general

En este ejemplo, un único dispositivo del clúster termina en un túnel IPsec y se usa para procesar todo el tráfico, mientras que el otro dispositivo solo se usa en caso de que se produzca un error. (Consulte la figura 5.) Cuando se produce un error, el dispositivo de copia de seguridad se convierte en el principal y controla todo el reenvío.

Figura 5: Clúster de chasis activo/pasivo con topología de túnel IPsec (firewalls de la serie SRX) Active/Passive Chassis Cluster with IPsec Tunnel Topology (SRX Series Firewalls)

En este ejemplo, se configura la información del grupo (aplicando la configuración con el comando) y del clúster del apply-groups chasis. A continuación, configure IKE, IPsec, ruta estática, zona de seguridad y parámetros de política de seguridad. Véanse los cuadros 5 a 11.

Tabla 5: Parámetros de configuración de grupos y clústeres de chasis

Característica

Nombre

Parámetros de configuración

Grupos

nodo0

  • Nombre de host: SRX5800-1

  • Interfaz: fxp0

    • Unidad 0

    • 172.19.100.50/24

nodo1

  • Nombre de host: SRX5800-2

  • Interfaz: fxp0

    • Unidad 0

    • 172.19.100.51/24

Tabla 6: Parámetros de configuración del clúster de chasis

Característica

Nombre

Parámetros de configuración

Vínculos de estructura

fab0

Interfaz: xe-5/3/0

fab1

Interfaz: xe-17/3/0

Número de interfaces Ethernet redundantes

2

Intervalo de latidos

1000

Umbral de latidos cardíacos

3

Grupo de redundancia

0

  • Prioridad:

    • Nodo 0: 254

    • Nodo 1: 1

1

  • Prioridad:

    • Nodo 0: 254

    • Nodo 1: 1

Monitoreo de interfaz

  • xe-5/0/0

  • xe-5/1/0

  • xe-17/0/0

  • xe-17/1/0

Interfaces

xe-5/1/0

Padre redundante: reth1

xe-5/1/0

Padre redundante: reth1

xe-5/0/0

Padre redundante: reth0

xe-17/0/0

Padre redundante: reth0

reth0

Grupo de redundancia: 1

  • Unidad 0

  • 10.1.1.60/16

reth1

Grupo de redundancia: 1

  • Multipunto

  • Unidad 0

  • 10.10.1.1/30

st0

  • Unidad 0

  • 10.10.1.1/30

Tabla 7: Parámetros de configuración de IKE

Característica

Nombre

Parámetros de configuración

Propuesta

Estándar establecido por la propuesta

-

Política

Preshared

  • Modo: principal

  • Referencia de propuesta: proposal-set standard

  • Método de autenticación de políticas de fase 1 de IKE: texto ascii de clave precompartida

Entrada

SRX1500-1

  • Referencia de política de ICR: perShared

  • Interfaz externa: reth0.0

  • Dirección de la puerta de enlace: 10.1.1.90

Nota:

En la agrupación en clústeres de chasis SRX, solo se admiten las interfaces reth y lo0 para la configuración de la interfaz externa IKE. Se pueden configurar otros tipos de interfaz, pero es posible que la VPN IPsec no funcione. Si se utiliza una interfaz lógica lo0 como interfaz externa de puerta de enlace IKE, no se puede configurar con RG0.

Tabla 8: Parámetros de configuración IPsec

Característica

Nombre

Parámetros de configuración

Propuesta

Estándar establecido por la propuesta

Política

ETS

VPN

SRX1500-1

  • Referencia de puerta de enlace IKE: SRX1500-1

  • Referencia de directiva IPsec: std

  • Enlazar a interfaz: st0.0

  • Monitoreo VPN: optimizado para monitor vpn

  • Túneles establecidos: establecer túneles inmediatamente

Nota:

El nombre de VPN manual y el nombre de puerta de enlace de sitio a sitio no pueden ser los mismos.

Nota:

Una interfaz de túnel seguro (st0) de st0.16000 a st0.16385 está reservada para la alta disponibilidad de múltiples nodos y para el cifrado de vínculos de control de alta disponibilidad en el clúster de chasis. Estas interfaces no son interfaces configurables por el usuario. Sólo puede utilizar interfaces de st0.0 a st0.15999.

Tabla 9: Parámetros de configuración de rutas estáticas

Nombre

Parámetros de configuración

0.0.0.0/0

Siguiente salto: 10.2.1.1

10.3.0.0/16

Siguiente salto: 10.10.1.2

Tabla 10: Parámetros de configuración de la zona de seguridad

Nombre

Parámetros de configuración

confianza

  • Se permiten todos los servicios del sistema.

  • Todos los protocolos están permitidos.

  • La interfaz reth0.0 está enlazada a esta zona.

desconfianza

  • Se permiten todos los servicios del sistema.

  • Todos los protocolos están permitidos.

  • La interfaz reth1.0 está enlazada a esta zona.

VPN

  • Se permiten todos los servicios del sistema.

  • Todos los protocolos están permitidos.

  • La interfaz st0.0 está enlazada a esta zona.

Tabla 11: Parámetros de configuración de la política de seguridad

Propósito

Nombre

Parámetros de configuración

Esta política de seguridad permite el tráfico desde la zona de confianza a la zona de no confianza.

CUALQUIER

  • Criterios de coincidencia:

    • dirección de origen cualquiera

    • dirección-destino cualquiera

    • aplicación cualquiera

  • Acción: permiso

Esta política de seguridad permite el tráfico desde la zona de confianza a la zona VPN.

vpn-cualquiera

  • Criterios de coincidencia:

    • dirección de origen cualquiera

    • dirección-destino cualquiera

    • aplicación cualquiera

  • Acción: permiso

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar un par de clústeres de chasis activo/pasivo con un túnel IPsec:

  1. Configure los puertos de control.

  2. Configure la interfaz de administración.

  3. Configure la interfaz de estructura.

  4. Configurar grupos de redundancia.

  5. Configure interfaces Ethernet redundantes.

  6. Configure los parámetros IPsec.

  7. Configurar rutas estáticas.

  8. Configure zonas de seguridad.

  9. Configurar políticas de seguridad.

Resultados

Desde el modo operativo, ingrese el comando para confirmar la show configuration configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Para abreviar, este show resultado del comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificación del estado del clúster de chasis

Propósito

Compruebe el estado del clúster de chasis, el estado de conmutación por error y la información del grupo de redundancia.

Acción

Desde el modo operativo, ingrese el show chassis cluster status comando.

Comprobación de interfaces de clúster de chasis

Propósito

Compruebe las interfaces del clúster de chasis.

Acción

Desde el modo operativo, ingrese el show chassis cluster interfaces comando.

Verificación de estadísticas de clúster de chasis

Propósito

Verifique la información sobre los servicios de clúster de chasis y las estadísticas de vínculos de control (latidos enviados y recibidos), estadísticas de vínculos de estructura (sondeos enviados y recibidos) y el número de RTO enviados y recibidos por servicios.

Acción

Desde el modo operativo, ingrese el show chassis cluster statistics comando.

Verificación de estadísticas del plano de control del clúster de chasis

Propósito

Verifique la información sobre las estadísticas del plano de control del clúster del chasis (latidos enviados y recibidos) y las estadísticas del vínculo de estructura (sondeos enviados y recibidos).

Acción

Desde el modo operativo, ingrese el show chassis cluster control-panel statistics comando.

Comprobación de estadísticas de plano de datos del clúster de chasis

Propósito

Verifique la información sobre la cantidad de RTO enviados y recibidos por servicios.

Acción

Desde el modo operativo, ingrese el show chassis cluster data-plane statistics comando.

Comprobación del estado del grupo de redundancia del clúster de chasis

Propósito

Compruebe el estado y la prioridad de ambos nodos en un clúster e información acerca de si el nodo principal ha tenido preferencia o si ha habido una conmutación por error manual.

Acción

Desde el modo operativo, ingrese el chassis cluster status redundancy-group comando.

Solución de problemas con registros

Propósito

Utilice estos registros para identificar cualquier problema del clúster del chasis. Debe ejecutar estos registros en ambos nodos.

Acción

Desde el modo operativo, ingrese estos show comandos.

Ejemplo: configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec (J-Web)

  1. Habilitar clústeres. Consulte Paso 1 en Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec.

  2. Configure la interfaz de administración. Consulte Paso 2 en Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec.

  3. Configure la interfaz de estructura. Consulte Paso 3 en Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec.

  4. Configure los grupos de redundancia.

    • Seleccione Configure>System Properties>Chassis Cluster.

    • Escriba la información siguiente y, a continuación, haga clic en Apply:

      1. Número de interfaces de éter redundantes: 2

      2. Intervalo de latidos: 1000

      3. Umbral de latidos del corazón: 3

      4. Nodos: 0

      5. Número de grupo: 0

      6. Prioridades: 254

    • Escriba la información siguiente y, a continuación, haga clic en Apply:

      1. Nodos: 0

      2. Número de grupo: 1

      3. Prioridades: 254

    • Escriba la información siguiente y, a continuación, haga clic en Apply:

      1. Nodos: 1

      2. Número de grupo: 0

      3. Prioridades: 1

    • Escriba la información siguiente y, a continuación, haga clic en Apply:

      1. Nodos: 1

      2. Número de grupo: 1

      3. Prioridades: 1

      4. Preferencia: active la casilla de verificación.

      5. Monitor de interfaz: interfaz: xe-5/0/0

      6. Monitor de interfaz—Peso: 255

      7. Monitor de interfaz: interfaz: xe-5/1/0

      8. Monitor de interfaz—Peso: 255

      9. Monitor de interfaz: interfaz: xe-17/0/0

      10. Monitor de interfaz—Peso: 255

      11. Monitor de interfaz: interfaz: xe-17/1/0

      12. Monitor de interfaz—Peso: 255

  5. Configure las interfaces Ethernet redundantes.

    • Seleccione Configure>System Properties>Chassis Cluster.

    • Seleccione xe-5/1/0.

    • Ingrese reth1 en el cuadro Padre redundante.

    • Haga clic en Apply.

    • Seleccione xe-17/1/0.

    • Ingrese reth1 en el cuadro Padre redundante.

    • Haga clic en Apply.

    • Seleccione xe-5/0/0.

    • Ingrese reth0 en el cuadro Padre redundante.

    • Haga clic en Apply.

    • Seleccione xe-17/0/0.

    • Ingrese reth0 en el cuadro Padre redundante.

    • Haga clic en Apply.

    • Consulte Paso 5 en Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec.

  6. Configure la configuración de IPsec. Consulte Paso 6 en Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec.

  7. Configure las rutas estáticas.

    • Seleccione Configure>Routing>Static Routing.

    • Haga clic en Add.

    • Escriba la información siguiente y, a continuación, haga clic en Apply:

      1. Dirección de ruta estática: 0.0.0.0/0

      2. Direcciones del siguiente salto: 10.2.1.1

    • Escriba la información siguiente y, a continuación, haga clic en Apply:

      1. Dirección de ruta estática: 10.3.0.0/16

      2. Direcciones del siguiente salto: 10.10.1.2

  8. Configure las zonas de seguridad. Consulte Paso 8 en Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec.

  9. Configure las políticas de seguridad. Consulte Paso 9 en Ejemplo: Configuración de un par de clústeres de chasis activo/pasivo con un túnel IPsec.

  10. Haga clic OK para comprobar su configuración y guardarla como configuración candidata y, a continuación, haga clic en Commit Options>Commit.